Ethical Hacking

FH Salzburg
Sommersemester 2025

This is the waiting queue slide. Hit space or right arrow key to jump to cover slide.

Intro & Erwartungsabklärung

Ethical Hacking
FH Salzburg, Sommersemester 2025


jackie / Andrea Ida Malkah Klaura <jackie@tantemalkah.at>

https://tantemalkah.at/2025/ethical-hacking

🌒⇆🌖 Use page style to switch to light mode.

What's this about?

  • Kein voller Ethical Hacking Kurs (impossible with 2.5 ECTS)
  • Aber ein Überblick was Ethical Hacking bedeutet, und was dazugehört
  • + ein paar erste praktische Einstiege, wie aktiv getestet werden kann
  • Fokus auf Web App Sec, mit spielerischem Ansatz (we'll talk a little bit about game sec too)

Course outline

  • 25. April, Block 1 : Intro, Pentesting 101, OSINT
  • 2. Mai, online session : Setup & challenge support
  • 30. Mai, Block 2 : Web App Sec, XSS, CSRF
  • 6. Juni, Block 3 : Scanning & enumeration, SQLi & other injections
  • 13. Juni, Block 4 : Reversing & buffer overflow, OWASP Top 10, Juice Shop & CTFs
  • 20. Juni: Prüfung

And whoami?


  • IRL: jackie
  • officially: Andrea Ida Malkah Klaura
  • part of the base dev team @Angewandte since 2020
  • also lecturer there, at FH Wien, and TU Wien
  • activist for better tech for everyone
  • #morefunnotprofit
  • Never Trust A Running System!
  • more info on tantemalkah.at

pronouns

That gender you got at birth? That's just a tutorial gender. You're only supposed to use it to get the hang on this world's gender system and then ditch it for a stronger one, not use it your entire life, noob
Source: kirin@monads.online, January 14, 2021 on Mastodon

technoscientific background

  • bis 2002: HTL für Technische Informatik & Internet Engineering
  • kurzer Ausflug in die Philosophie
  • bis 2009: BSc Technische Informatik @ TU Wien
    • 🤔 Semester == Jahre?
  • bis 2014: MA Science - Technology - Society @ Uni Wien
  • danach wieder kurzer Ausflug zurück an die TU: Educational Technologies
  • 2017-2020: MSc IT Security @ FH Technikum, berufsbegleitend
  • notable work engagements:
    • 2016-2020: IT-Maschinistin @ Radio ORANGE 94.0
    • immer wieder diverse selbständige Web Projekte
    • seit 2020: Open Source Engineer @ dieAngewandte
    • seit 2021: auch Lecturer @ Angewandte Coding Lab
    • seit 2023: Feministische Technikforschung @ TU Wien & Software Engineering @ FH Wien

And now this?

Why?!?


Web Application Security: hands-on intro
CTF teaming &
 security workshops
at feminist linux meetup

And who are you?

... ganz oldschool analog ...

Soziogramm

a.k.a. self-organising data visualisation

  • Um wieviel Uhr heute aufgestanden?
  • Aktuelles Müdigkeitslevel
  • Von wo kommt ihr hier in die LV (going 2D)
  • Erfahrung mit Dev & Ops (still 2D)
  • Bevorzugte Programmiersprache
  • Bevorzugtes Framework
  • XP mit Linux
  • XP mit Command Line
  • Gefühlte Nähe zum Thema IT Security
  • Schon mal CTFs probiert?
  • anything else?

Erwartungsabklärung

  1. Individuell auf Post-its sammeln: (3min)
    • Was möchte ich nach diesem Kurs (mehr) wissen bzw. (besser) können?
    • Was erwarte ich mir von den Kolleg:innen (inkl. LV-Leitung)?
    • Buzzwords die mir zu Ethical Hacking einfallen
  2. Vorstellung & Clustering (15min)
  3. Feedback & Abgrenzung durch LV-Leitung (5min)

Leistungsbeurteilung

Die Bewertung besteht aus drei Teilen:

  • 40% Theorie – bewertet durch eine Prüfung am Ende des Semesters. Diese Prüfung deckt alle Teile des Kurses ab.
  • 30% Praxis A – Präsentation einer der Hausübungen
  • 30% Praxis B – Ethical Hacking Report - Beschreibung einer Lücke und eines dazugehörigen Exploits

Anwesenheit:

Anwesenheitspflicht von mindestens 75%. Beispiel: 28 Einheiten, Sie müssen an mindestens 21 Einheiten teilnehmen. Bei Unterschreitung der Mindestanwesenheit müssen Sie eine Ersatzleistung erbringen. Fall die Anwesenheit unter 50% ist keine Leistungsbeurteilung möglich. Sie können in diesem Fall die Lehrveranstaltung frühestens in einem Jahr wiederholen.

2.5 ECTS?!?

What about study-life-balance?

  • Remember this?
    • Kein voller Ethical Hacking Kurs (impossible with 2.5 ECTS)
  • "Ethical Hacking Report" in Schmalspurvariante
  • Außerdem bis Bonuspunkte u.a. für:
    • Kurzvideobeiträge, Audiobeiträge, spannende Writeups
    • Zusätzlich gefundene Übungsbeispiele
    • Mini-writeups zu einzelnen Challenges aus zwei bekannten CTFs
  • Details jeweils bei den Aufgaben dazu im Moodle (rolling release)

ECTS breakdown

2,5 ECTS := 62,5 Arbeitsstunden

  • ~22.5h Präsenz
  • ~10h Prüfungsvorbereitung (including reading texts)
  • ~10h Ethical Hacking Report
  • ~10h Research & experimentation (including homework)
  • Individueller Aufwand variiert je nach XP
  • Bonuspunkte müssen nicht gemacht werden und erfordern gegebenenfalls mehr Zeit (bringen aber auch so viel mehr Spaß & XP)

Texte (a.k.a. prüfungsrelevantes Zeux)

  • Alles was sich in den Slides befindet
  • Folgende Texte, die alle im Moodle zu finden sind:
    • "Why Gray Hat Hacking? Ethics and Law" Chapter 1 (pp. 3-14) in: Harper, Allen, Daniel Regalado, Ryan Linn, Stephen Sims, Branko Spasojevic, Linda Martinez, Michael Baucom, Chris Eagle, and Shon Harris. 2018. Gray Hat Hacking: The Ethical Hacker’s Handbook. Fifth edition. New York: McGraw-Hill Education. (~15min) (Die Abschnitte zu US-basierte Gesetzen sind nicht prüfungsrelevant)
    • BSI. 2016. “Praxis-Leitfaden: IT-Sicherheits-Penetrationstest.” Bonn: Bundesamt für Sicherheit in der Informationstechnik. (~45min) (open access link)
    • Janca, Tanya. 2021. Alice and Bob Learn Application Security. Indianapolis, Indiana: John Wiley Sons, Inc.
      • Chapter 1: "Security Fundamentals" (pp.15-28) (~40min)
      • Chapter 2: "Security Requirements" (pp. 29-58) (~1h20min)

🤔   Fragen   ❓

Next up:

Pentesting101

But first:

Time for a break!
☕ 🍵 🍪 🍓 🥭